- COMP.SEC.100
- 17. WWW- ja mobiiliturvallisuus
- 17.1 WWW- ja mobiilitietoturva
WWW- ja mobiilitietoturva¶
WWW- ja mobiilitietoturvan vaikutus yleiseen tietoturvaan on merkittävä, koska WWW- ja mobiilisovellukset (apit) ovat laajasti käytettyjä ja monelle käyttäjälle pääasiallinen tapa käyttää internetiä tai muita järjestelmiä. Tässä tietoalueessa käsitellään niiden suojamekanismeja ja haavoittuvuuksia. Sekä WWW- että mobiilisovellukset kehittyivät nopeasti asiakaspuolen sovellusten ominaisuuksien ja toimintojen tarjoamisessa. Sovellusten yleistyminen (appification) toimii liikkeellepanevana voimana WWW- ja mobiiliekosysteemeissä. WWW- ja mobiiliasiakassovellukset kommunikoivat palvelinpuolen kanssa sovellusrajapintojen web-teknologioilla. WWW-teknologiat (webfication) vaikuttavat yhtä lailla sekä WWW- että mobiiliekosysteemeihin. 1990-luvulla WWW- ja mobiiliturvallisuus keskittyi vahvasti palvelinpuolen ja infrastruktuurin tietoturvaan. Selaimia käytettiin enimmäkseen staattisten verkkosivustojen näyttämiseen ilman dynaamista sisältöä. Verkkosisällöstä tuli kuitenkin dynaamisempaa 2000-luvulla ja palvelinpuolen tietoturvassa täytyi alkaa huomioida esim. injektiohyökkäykset. Varhaiset mobiililaitteet olivat rajoittuneita ja niitä käytettiin enimmäkseen puheluiden soittamiseen tai tekstiviestien lähettämiseen. Mobiiliturvallisuus oli silloin keskittynyt pääsynvalvontaan, puheluihin ja tekstiviestien turvallisuuteen.
Modernien WWW- ja mobiilialustojen kehittyminen toi merkittäviä muutoksia. Web-sovelluskoodia ei enää suoriteta palvelinpuolella, vaan se toimii selaimessa. Selaimet käyttävät Javaa, Adobe Flashia, JavaScriptiä ja selainlaajennuksia, mikä sai aikaan jyrkän muutoksen verkon hyökkäyspinta-alassa. Uudentyyppisiä hyökkäyksiä, kuten Cross-Site Scripting, ilmestyi ja selailaajennukset osoittautuivat haavoittuvaiseksi, mm. Adobe Flash -selainlaajennukset ovat houkutteleva hyökkäyskohde. Vastauksena näihin uusiin uhkiin selaintoimittajat sekä verkkosivustojen kehittäjät ryhtyivät toimenpiteisiin. Esimerkiksi Google Chrome poisti Adobe Flash -laajennuksen oletusarvoisesti käytöstä vuonna 2019. Tätä nykyä Adobe Flash on kokonaan poistettu käytöstä selaimissa, sillä sen kehittäjä lopetti kyseisen ohjelman tukemisen. Myös mobiililaitteista on tullut älykkäämpiä ja monipuolisempia. Älypuhelimet ja -tabletit on varustettu liiketunnistimilla, GPS:llä ja kameroilla. Laitteissa on paljon laskentatehoa ja tallennuskapasiteettia ja ne ovat jatkuvasti yhteydessä internetiin. Myös mobiilikäyttöjärjestelmät ovat kehittyeet ja niiden sovelluskehykset ovat yhä monipuolisempia ja monimutkaisempia. Mobiilisovellukset voivat pyytää pääsyä kaikkiin laitteiden resursseihin ja lupakyselyyn perustuvaa pääsynhallintaa käyttäviin sensoreihin. Sovellukset myös käsittelevät erittäin arkaluonteisia käyttäjätietoja. Koska mobiililaitteet ovat tehokkaita, monipuolisia ja yhteydessä internetiin, ne ovat lupaavia ja houkuttelevia kohteita hyökkääjille.
“Kaikelle on sovellus” -motto tiivistää paljon viime vuosien teknologisesta ja turvallisuuskehityksestä. Sovellustrendi johti miljooniin sovelluksiin, jotka vaihtelevat yksinkertaisista taskulamppusovelluksista sosiaalisen median sovelluksiin ja verkkopankkisovelluksista mobiilipeleihin. Lisäksi WWW- ja mobiilisovelluksissa käytettävät teknologiat ja suojausmekanismit yhdistyivät. Sekä WWW- että mobiiliekosysteemit ovat tyypillisesti asiakas-palvelin -suuntautuneita. Selaimet ja mobiilisovellukset kommunikoivat taustapalvelujen kanssa verkkoteknologioilla. Kommunikointi perustuu pääosin HTTP-protokollaan (Hypertext Transfer Protocol) ja sen suojattuun HTTPS-laajennukseen. Selaimet ja mobiilisovellukset vaihtavat esim. Hypertext Markup Language (HTML), JSON- ja XML-dokumentteja ja molemmat käyttävät laajasti JavaScript-ohjelmointikieltä sekä palvelin- että asiakaspuolella. Nykyaikaisten verkko- ja mobiilisovellusten valtava määrä vaikutti myös ohjelmistojen jakelumalliin, joka siirtyi verkkosivustoilta lataamisesta keskitettyihin sovelluskauppoihin. Sovelluskaupoissa kehittäjät voivat julkaista, mainostaa ja jaella ohjelmistojaan, ja käyttäjät voivat ladata uusia sovelluksia ja sovelluspäivityksiä. Keskitetyllä ohjelmistojakelulla on positiivinen vaikutus päivitystiheyteen ja -nopeuteen sekä verkossa että mobiilissa.